Vastus
Tänapäeva globaliseerunud maailmas toimub mahukas isikuandmete piiriülene edastamine ja vahel salvestatakse need mitmes erinevas riigis asuvatesse serveritesse. Isikuandmete kaitse üldmäärusega ette nähtud kaitse liigub andmetega kaasa, see tähendab, et isikuandmete kaitse eeskirju kohaldatakse jätkuvalt, sõltumata sellest, kuhu andmed satuvad. See kehtib ka juhul, kui andmed edastatakse kolmandasse riiki.
Isikuandmete kaitse üldmäärus pakub erinevatest vahenditest koosneva raamistiku andmete edastamisele EList kolmandasse riiki:
- Euroopa Komisjon võib oma otsusega (kaitse piisavuse otsusega) kinnitada, et konkreetne kolmas riik tagab piisaval tasemel kaitse, mis tähendab, et Te võite edastada andmeid teisele ettevõttele selles kolmandas riigis nii, et andmete eksportija ei pea nägema ette täiendavat kaitset ega täitma lisatingimusi. Teisisõnu on andmete edastamine „piisava kaitsega“ kolmandasse riiki võrdne andmete edastamisega ELi piires;
- kaitse piisavuse otsuse puudumise korral saab andmeid edastada, kui rakendatakse asjakohaseid kaitsemeetmeid, ning tingimusel, et üksikisikutele on tagatud kohtulikult kaitstavad õigused ja tõhusate õiguskaitsevahendite kättesaadavus. Sellised asjakohased kaitsemeetmed on muu hulgas järgmised:
- kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma korral tohivad ettevõtjad edastada isikuandmeid nn siduvate kontsernisiseste eeskirjade alusel;
- isikuandmete vastuvõtjaga lepingu sõlmimine, kasutades näiteks Euroopa Komisjoni heaks kiidetud lepingu tüüptingimusi;
- toimimisjuhendi või heakskiidetud sertifitseerimismehhanismi järgimine koos vastuvõtja siduvate ja täitmisele pööratavate kohustustega rakendada edastatud andmete kaitseks asjakohaseid kaitsemeetmeid;
- kui isikuandmeid on kavas edastada kolmandasse riiki, mille kohta ei ole tehtud kaitse piisavuse otsust ja asjakohased kaitsemeetmed puuduvad, saab andmeid edastada konkreetsete olukordade jaoks ette nähtud erandite alusel, näiteks kui üksikisik on edastamiseks andnud selgesõnalise nõusoleku pärast kogu vajaliku teabe saamist sellise edastamisega kaasnevatest võimalikest ohtudest.
Näide
Te olete Prantsusmaa ettevõtja, kes kavatseb laiendada oma teenuseid Lõuna-Ameerikasse, esmajoones Argentina, Uruguay ja Brasiilia turule. Esimese sammuna tuleks kontrollida, kas nende riikide kohta on tehtud kaitse piisavuse otsus. Käesoleval juhul on nii Argentina kui ka Uruguay kaitse tunnistatud piisavaks. Te saate edastada isikuandmeid nendesse kahte ELi mittekuuluvasse riiki ilma täiendavate kaitsemeetmeteta, kuid Brasiilia kohta ei ole tehtud kaitse piisavuse otsust ja Te peate andmete edastamisel tagama asjakohased kaitsemeetmed.
Viited
- Peatükk V (artiklid 44–50); põhjendused 101–116.
- Euroopa Andmekaitsenõukogu uusimad suunised rahvusvahelise edastamise kohta.
- Lugege lisateabe saamiseks ka Euroopa Komisjoni teatist „Isikuandmete vahetamine ja kaitsmine globaliseerunud maailmas“, 10.1.2017.
Example
You're a French company intending to expand its services to South America, notably Argentina, Uruguay and Brazil. The first step would be to check whether those third countries are subject to an Adequacy Decision. In this case, both Argentina and Uruguay have been declared adequate. You’d be able to transfer personal data to those two third countries without any additional safeguards while for transfers to Brazil which is not the subject of Adequacy Decision, you’ll have to frame your transfers by providing appropriate safeguards.
References
- Chapter V, Articles (44 to 50) and Recitals (101) to (116) of the GDPR
- EDPB's latest guidelines on International transfers:
- See also for reference the European Commission Communication on Exchanging and Protecting Personal Data in a Globalised World1, 10 January 2017
1 COM(2017)7 final